Новый сервис – это новые возможности. В том числе и для злоумышленников, которые весьма оперативно отслеживают все новинки бизнеса.
Вот, например, 6 мая Сбербанк запустил сервис «Безопасная сделка», предназначенный для обеспечения гарантии оплаты сделки ее участниками и защиты их прав. Техническим партнером банка выступила компания SafeCrow, которая специализируется на оказании подобных услуг.
На сайте банка была создана соответствующая страница, личный кабинет сервиса располагается на отдельном домене — sb-sdelka.ru.
Ровно неделю спустя, 13 мая, в сети появился ресурс sberbank-service.online, мимикрирующий под вышеупомянутый сервис. Давайте сравним их.
Вот так выглядит страница сервиса на сайте Сбербанка.
А вот так – на сайте злоумышленников.
Ключевым элементом обеих страниц является кнопка «Создать сделку». Но если на сайте банка эта кнопка приводит нас в личный кабинет, в котором нам предлагают авторизоваться, используя номер телефона и код из СМС.
То вредоносный ресурс без всяких пояснений просто предлагает ввести пароль.
Познакомимся с мошенническим сайтом поближе.
Если оригинальный домен, используемый сервисом Сбербанка, был зарегистрирован компанией «SafeCrow» через RU-CENTER, то регистратором доменного имени SBERBANK-SERVICE.ONLINE выступила американская компания «Network Solutions». При этом идентификатор страны в Whois указывает на Россию, а в поле регион значится RU-NVS, что судя по всему означает Новосибирск. В привязке к домену фигурирует почтовый адрес: sb.service.help@gmail.com.
Сайт хостится на платформе Wix.com. И не только хостится, ведь Wix – это прежде всего онлайн конструктор сайтов. Заглядываем в код страницы и сразу же видим: meta name=«generator» content=«Wix.com Website Builder». Похоже, что злоумышленники не стали заморачиваться и быстренько сколотили фишинговый сайт прямо в онлайн-билдере.
Это, кстати, отличает его от других подобных ресурсов. За последние несколько месяцев большая часть сайтов, предназначенных для обмана клиентов Сбербанка, или была сделана на чистом HTML с вкраплениями JavaScript, или использовала какие-то самописные движки. А тут даже картинки хостятся на static.wixstatic.com/media.
Сайт имеет валидный SSL-сертификат, так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное.
Анализ кода страницы не приносит особых результатов. Сплошной мусор и JavaScript, доставшиеся от Wix. На сайте присутствует тег google-site-verification и скрипт Google Analytics, что, впрочем, уже давно не редкость даже для фишинговых ресурсов, так как изучать целевую аудиторию хотят все.
Верхняя область сайта и футер более-менее точно скопированы с сайта банка, однако, фишинговый ресурс потерял возможность полноценного масштабирования и утратил оригинальные шрифты. Изменениям подверглось и верхнее меню. Часть ссылок в нем введет на сайт Сбербанка, но количество и наименование кнопок отличается от оригинального, а кнопки «Главная», «Лицензия» и «Сделка» ссылаются на элементы фишингового ресурса. В разделе «Лицензия» размещена таблица с реквизитами Сбербанка и ссылка на pdf-файл со сканом генеральной лицензии ЦБ, который лежит на docs.wixstatic.com. Картинка на главной странице взята с фотостока Istock.
В своем текущем виде сайт может использоваться в качестве одного из элементов криминальной схемы. Форма ввода пароля, отсутствие логина и регистрации позволяют предположить, что жертва, попавшая на сайт, уже будет иметь готовый пароль, переданный злоумышленниками, то есть без социальной инженерии здесь явно не обойдется.
Несмотря на то, что на данный момент не представляется возможным изучить все детали мошеннической схемы, сайт уже сейчас может представлять угрозу, ведь он явно предназначен для введения в заблуждение клиентов банка.
Мы проинформировали ПАО «Сбербанк» и компанию SafeCrow о выявленной угрозе и надеемся, что фишинговый ресурс прекратит свое существование еще до появления первых жертв.
Вот, например, 6 мая Сбербанк запустил сервис «Безопасная сделка», предназначенный для обеспечения гарантии оплаты сделки ее участниками и защиты их прав. Техническим партнером банка выступила компания SafeCrow, которая специализируется на оказании подобных услуг.
На сайте банка была создана соответствующая страница, личный кабинет сервиса располагается на отдельном домене — sb-sdelka.ru.
Ровно неделю спустя, 13 мая, в сети появился ресурс sberbank-service.online, мимикрирующий под вышеупомянутый сервис. Давайте сравним их.
Вот так выглядит страница сервиса на сайте Сбербанка.
А вот так – на сайте злоумышленников.
Ключевым элементом обеих страниц является кнопка «Создать сделку». Но если на сайте банка эта кнопка приводит нас в личный кабинет, в котором нам предлагают авторизоваться, используя номер телефона и код из СМС.
То вредоносный ресурс без всяких пояснений просто предлагает ввести пароль.
Познакомимся с мошенническим сайтом поближе.
Если оригинальный домен, используемый сервисом Сбербанка, был зарегистрирован компанией «SafeCrow» через RU-CENTER, то регистратором доменного имени SBERBANK-SERVICE.ONLINE выступила американская компания «Network Solutions». При этом идентификатор страны в Whois указывает на Россию, а в поле регион значится RU-NVS, что судя по всему означает Новосибирск. В привязке к домену фигурирует почтовый адрес: sb.service.help@gmail.com.
Сайт хостится на платформе Wix.com. И не только хостится, ведь Wix – это прежде всего онлайн конструктор сайтов. Заглядываем в код страницы и сразу же видим: meta name=«generator» content=«Wix.com Website Builder». Похоже, что злоумышленники не стали заморачиваться и быстренько сколотили фишинговый сайт прямо в онлайн-билдере.
Это, кстати, отличает его от других подобных ресурсов. За последние несколько месяцев большая часть сайтов, предназначенных для обмана клиентов Сбербанка, или была сделана на чистом HTML с вкраплениями JavaScript, или использовала какие-то самописные движки. А тут даже картинки хостятся на static.wixstatic.com/media.
Сайт имеет валидный SSL-сертификат, так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное.
Анализ кода страницы не приносит особых результатов. Сплошной мусор и JavaScript, доставшиеся от Wix. На сайте присутствует тег google-site-verification и скрипт Google Analytics, что, впрочем, уже давно не редкость даже для фишинговых ресурсов, так как изучать целевую аудиторию хотят все.
Верхняя область сайта и футер более-менее точно скопированы с сайта банка, однако, фишинговый ресурс потерял возможность полноценного масштабирования и утратил оригинальные шрифты. Изменениям подверглось и верхнее меню. Часть ссылок в нем введет на сайт Сбербанка, но количество и наименование кнопок отличается от оригинального, а кнопки «Главная», «Лицензия» и «Сделка» ссылаются на элементы фишингового ресурса. В разделе «Лицензия» размещена таблица с реквизитами Сбербанка и ссылка на pdf-файл со сканом генеральной лицензии ЦБ, который лежит на docs.wixstatic.com. Картинка на главной странице взята с фотостока Istock.
Подведем итоги
В своем текущем виде сайт может использоваться в качестве одного из элементов криминальной схемы. Форма ввода пароля, отсутствие логина и регистрации позволяют предположить, что жертва, попавшая на сайт, уже будет иметь готовый пароль, переданный злоумышленниками, то есть без социальной инженерии здесь явно не обойдется.
Несмотря на то, что на данный момент не представляется возможным изучить все детали мошеннической схемы, сайт уже сейчас может представлять угрозу, ведь он явно предназначен для введения в заблуждение клиентов банка.
Мы проинформировали ПАО «Сбербанк» и компанию SafeCrow о выявленной угрозе и надеемся, что фишинговый ресурс прекратит свое существование еще до появления первых жертв.